Sleutel wegneemetes
- Kubermisdaad is al byna 'n halwe dekade aan die toeneem, met uitvissing-aanvalle wat die afgelope jaar veral problematies was.
- Sedert 2016 het Twitter verskeie hoëprofiel-kuberaanvalle ervaar en bied gebruikers nou die opsie van fisiese sekuriteitsleutels.
- Die maatskappy beweer die metode is een van die sterkste maniere om 'n rekening te beveilig.
Ná byna 'n halwe dekade van toenemende kubermisdaad en 'n jaar wat deur hoëprofiel-oortredings bederf is, bied Twitter 'n nuwe sekuriteitskenmerk wat kan help om die risiko van geteikende aanvalle op gebruikersrekeninge te verminder.
Volgens 'n blogplasing wat op 30 Junie gepubliseer is, bied die sosialemediareus gebruikers nou die opsie om fisiese sekuriteitsleutels hul enigste metode van tweefaktor-verifikasie (2FA) te maak - 'n skuif wat kan help om rekeninge meer te maak veilig terwyl die vorige vereiste vir swakker rugsteunmetodes uitgeskakel word.
Tog waarsku kundiges dat elke metode van 2FA met kompromisse kom.
"Die probleem is dat nie een van hierdie [stawingmetodes] regtig so absoluut is as wat mense dink dit is nie," het Joseph Steinberg, 'n 25-jarige kuberveiligheidskenner en skrywer van verskeie boeke, insluitend Cybersecurity for Dummies, aan Lifewire gesê. foon.
Fisiese sekuriteitsleutels, verduidelik
Volgens Steinberg is daar verskeie tipes multifaktor-verifikasie - elk met sy eie voordele en tekortkominge.
Fisiese sekuriteitsleutels, soos dié wat deur Twitter aangebied word, is klein toestelle wat gebruikers fisies by hul persoonlike toestelle moet aansluit, of met hul persoonlike toestelle moet sinkroniseer om by hul rekeninge aan te meld - baie soos motorsleutels. Dit bied die voordeel om te verhoed dat kuberkrakers oor 'n afstand toegang tot rekeninge verkry deur uitvissing-aanvalle of wanware.
…Dit is onwaarskynlik dat iemand nou gaan oorskakel wanneer daar makliker meganismes is wat as goed genoeg beskou word.
Volgens Twitter se blogplasing kan die sleutels "wettige werwe van kwaadwillige webwerwe onderskei en uitvissingpogings blokkeer wat SMS of verifikasiekodes nie sou nie."
Teoreties bied die sleutels die sterkste sekuriteitsoplossing vir gebruikers, maar dit is ook een van die minste gerieflike oplossings vir alledaagse gebruikers.
"Die groot nadeel is dat jy nou die sleutel bykomend tot jou foon moet dra," het Steinberg verduidelik. "As jy dus van die strand af wil twiet, dra jy jou foon en die sekuriteitsleutel."
Steinberg het ook gewaarsku dat fisiese sekuriteitsleutels die risiko inhou om verlore te gaan, wat daartoe kan lei dat 'n gebruiker uit hul eie rekening gesluit word.
Balancing the Tradeoffs
Minder veilige stawingmetodes, soos om 'n aanmeldkode na jou selfoon te stuur, is dikwels geriefliker vir gebruikers as fisiese sekuriteitsleutels, maar dit kan 'n groter risiko inhou.
Steinberg het gesê kuberkrakers kan SMS-kodes onderskep deur metodes soos SIM-omruilings, waar diewe 'n gebruiker se foonnommer steel en die kodes op hul eie toestel ontvang.
"As jy op SMS'e staatmaak en iemand steel op een of ander manier jou foonnommer en begin jou SMS'e kry, het jy 'n probleem want hulle gaan jou kodes kry en dit gaan wees in staat om jou wagwoorde terug te stel," het Steinberg gesê.
Authenticator-toepassings wat 'n eenmalige aanmeldkode genereer, is nog 'n gewilde metode van 2FA, maar hulle hou steeds die risiko in dat hulle deur kuberkrakers toegang verkry word.
"As 'n gebruiker by 'n phishing-werf aanmeld en hulle voer daardie kode in, het die phisher dan daardie kode en kan dit onmiddellik na die regte werf oordra," het Steinberg verduidelik en bygevoeg dat daar ook 'n risiko is om te verloor die foon en verloor dus toegang tot die toepassing.
Selfs meer komplekse metodes, soos biometriese vingerafdruk-verifikasie, kan risiko's inhou.
"Jou vingerafdrukke is oral op die telefoon as jy daaraan raak," het Steinberg gesê en verduidelik dat gesofistikeerde diewe jou afdrukke kan optel en dit kan gebruik om by 'n toestel aan te meld. "Die vingerafdruksensor het nie 'n manier om te bepaal of dit 'n werklike mens is wat hul vinger daar sit nie, teenoor iemand wat 'n beeld plaas van 'n vingerafdruk wat van die foon gelig is."
Weg van die voordele
Weens die ongerief om 'n ekstra fisiese sekuriteitsleutel rond te dra, het Steinberg gesê dat hy nie sien dat die meeste alledaagse gebruikers die skakelaar maak wat deur Twitter aangebied word nie.
Die probleem is dat nie een van hierdie [stawingmetodes] regtig so absoluut is as wat mense dink dit is nie.
My ervaring was dat selfs dinge wat 'n klein gesukkel is as dit by sekuriteit kom - tensy iemand oortree is en ernstige gevolge gehad het - dit onwaarskynlik is dat iemand nou gaan oorskakel as daar makliker meganismes is wat as goed genoeg beskou word,” het Steinberg gesê.
Tog het Steinberg gesê spesifieke groepe gebruikers, soos besighede en hoëprofiel-individue, kan baat vind by fisiese sekuriteitsleutels.
Terwyl daar geen perfekte oplossing is om 'n gebruiker se sosiale media-rekening te beveilig nie, het Steinberg beklemtoon dat enige vorm van multi-faktor-verifikasie beter is as geen, as gevolg van die feit dat sosiale rekeninge dikwels gebruik word om by ander gekoppelde rekeninge aan te meld platforms.
"As jy nie vandag twee-faktor-stawing vir jou sosiale media-rekeninge gebruik nie, skakel dit aan," het Steinberg gesê.
